在未來 12-18 個月內(nèi)，組織將面臨日益復(fù)雜的 AI 合規(guī)框架和法規(guī)環(huán)境。隨著 AI 在各個行業(yè)的采用加速，全球各國政府都在推進(jìn)立法以應(yīng)對其風(fēng)險和使用。對于安全主管來說，這些框架在治理、風(fēng)險管理和合規(guī)規(guī)劃方面帶來了重大挑戰(zhàn)。

在歐盟，《歐盟人工智能法案》標(biāo)志著一項重要進(jìn)展，該法案將于 2025 年 2 月開始分階段推出。與此同時，在美國，監(jiān)管舉措包括擬議的美國證券交易委員會規(guī)則和越來越多的州級立法，例如科羅拉多州的《人工智能法案》。據(jù)全球律師事務(wù)所 BCLP稱，美國至少有 15 個州頒布了與人工智能相關(guān)的立法，還有更多立法正在制定中。在這些地區(qū)之外，中國的監(jiān)管方法自 2022 年以來一直在迭代，這給全球企業(yè)帶來了另一層復(fù)雜性。

而這僅僅是個開始。除了針對人工智能的特定法規(guī)外，《數(shù)字運營彈性法案》（DORA）等更廣泛的框架還引入了與人工智能使用相關(guān)的行業(yè)特定要求，特別是在金融服務(wù)和其他受監(jiān)管行業(yè)。

對于跨國組織來說，在未來幾年里，協(xié)調(diào)這些重疊且不斷發(fā)展的法規(guī)之間的合規(guī)工作將是一項重大挑戰(zhàn)。

2025 年 2 月：歐盟人工智能法案開始實施

與 GDPR 類似，歐盟 AI 法案將分階段實施。第一個里程碑是2025 年 2 月 2 日，屆時在歐盟運營的組織必須確保參與 AI 使用、部署或監(jiān)督的員工具備足夠的 AI 素養(yǎng)。此后從 8 月 1 日起，任何基于GPAI 標(biāo)準(zhǔn)的新 AI 模型都必須完全符合該法案。與 GDPR 類似的是，不合規(guī)行為將面臨巨額罰款——3500 萬歐元或全球年營業(yè)額的 7%，以較高者為準(zhǔn)。

雖然這一要求表面上看似可控，但許多組織仍處于定義和正式化其 AI 使用政策的早期階段。在我與安全和合規(guī)負(fù)責(zé)人的對話中，很少有人表示已實施可執(zhí)行的政策來管理內(nèi)部 AI 的使用，更不用說向外部監(jiān)管機構(gòu)證明其合規(guī)性了。

這一階段凸顯了安全意識培訓(xùn)計劃的更廣闊機會，可以超越傳統(tǒng)的網(wǎng)絡(luò)釣魚模擬等練習(xí)。例如，動態(tài)和自動化的培訓(xùn)任務(wù)（KnowBe4 等平臺已經(jīng)采用的模型）可以幫助組織確保員工能夠理解和減輕與人工智能相關(guān)的風(fēng)險。

高風(fēng)險應(yīng)用和人工智能資產(chǎn)清單的挑戰(zhàn)

歐盟《人工智能法案》的后期階段預(yù)計將于 2025 年底至 2026 年實施，屆時將對禁止和高風(fēng)險的人工智能應(yīng)用提出更嚴(yán)格的要求。對于組織而言，這將帶來一項重大的治理挑戰(zhàn)：保持對人工智能資產(chǎn)的可見性和控制力。

影子 IT 的概念（員工未經(jīng)批準(zhǔn)使用未經(jīng)批準(zhǔn)的工具）并不新鮮，但生成式 AI 工具加劇了這一問題。與傳統(tǒng)軟件相比，AI 工具對最終用戶往往更具吸引力，他們可能會繞過控制措施來利用他們所認(rèn)為的生產(chǎn)力優(yōu)勢。結(jié)果就是“影子 AI”的興起，未經(jīng)批準(zhǔn)或嵌入的 AI 功能在沒有安全監(jiān)督的情況下被使用。

跟蹤獨立生成式 AI 工具（例如 ChatGPT 或 Claude）的使用情況相對簡單。然而，在處理在后端集成 AI 功能的 SaaS 平臺時，挑戰(zhàn)會變得更加嚴(yán)峻。包括 Gartner 在內(nèi)的分析師將此稱為“嵌入式 AI”，其普及使得維護準(zhǔn)確的 AI 資產(chǎn)清單變得越來越復(fù)雜。

如果美國證券交易委員會的擬議法規(guī)在美國頒布，人工智能資產(chǎn)管理將變得更加重要。組織將需要實施強大的流程來盤點、監(jiān)控和管理其環(huán)境中的人工智能系統(tǒng)。

了解人工智能用例：超越工具跟蹤

歐盟人工智能法案等框架變得更加復(fù)雜的地方在于它們關(guān)注的是“高風(fēng)險”用例。合規(guī)性要求組織不僅僅識別正在使用的人工智能工具；他們還必須評估這些工具的使用方式、共享的數(shù)據(jù)以及人工智能正在執(zhí)行的任務(wù)。

例如，員工使用生成式 AI 工具總結(jié)敏感的內(nèi)部文件與使用相同工具起草營銷內(nèi)容的風(fēng)險截然不同。隨著 AI 的使用范圍不斷擴大，組織必須詳細(xì)了解這些用例，以評估其風(fēng)險狀況并確保遵守法規(guī)。

這不是一項小任務(wù)。開發(fā)監(jiān)控和管理全球企業(yè) AI 用例的能力將需要大量資源，尤其是隨著法規(guī)在未來 12-24 個月內(nèi)日趨成熟。

歐盟人工智能法案：更大治理難題的一部分

對于安全和合規(guī)領(lǐng)導(dǎo)者來說，歐盟人工智能法案只是將在 2025 年占據(jù)主導(dǎo)地位的更廣泛的人工智能治理難題的一部分。無論身處何地，組織都將面臨越來越大的壓力來了解、管理和記錄其人工智能部署。

未來 12-18 個月，安全、合規(guī)和技術(shù)團隊需要持續(xù)關(guān)注并通力協(xié)作，才能領(lǐng)先于這些發(fā)展。雖然挑戰(zhàn)巨大，但積極主動的組織有機會構(gòu)建可擴展的 AI 治理框架，以確保合規(guī)性，同時實現(xiàn)負(fù)責(zé)任的 AI 創(chuàng)新。

成功的三個步驟

隨著全球監(jiān)管勢頭的加速，今天的準(zhǔn)備對于避免明天的混亂至關(guān)重要。以下是組織今天可以做的事情：

• 建立 AI 委員會——如果你還沒有，那就組建一個跨職能團隊來應(yīng)對 AI 挑戰(zhàn)。這應(yīng)該包括治理代表，也包括安全和業(yè)務(wù)利益相關(guān)者
• 獲得可見性——了解您的員工正在使用什么以及他們使用它來做什么
• 培訓(xùn)用戶了解人工智能及其風(fēng)險